Я понимаю, что когда Windows кэширует учетные данные пользователя, они могут иногда использоваться злоумышленниками для доступа к другим машинам после взлома машины, содержащей кешированные учетные данные, метод, известный как «передача хэша» [1]. По этой причине я хотел бы получить контроль над тем, что кэшируется, чтобы снизить риск злонамеренного использования кэшированных учетных данных.
Можно предотвратить любое кеширование путем обнуления HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
, но это слишком неизбирательно: пользователи ноутбуков должны иметь возможность входить в систему, когда они находятся вне сети. Я хотел бы предотвратить кеширование учетных данных определенных пользователей, например администраторов - есть ли способ сделать это в Windows XP?
Как упоминалось во многих статьях по этой теме, лучше всего установить CachedLogonsCount = 1. Когда пользователь входит в свой ноутбук, учетные данные администратора сбрасываются. Обязательно объясните пользователю, что ему необходимо войти в систему при подключении к сети перед выходом, иначе он будет заблокирован.
Также стоит отметить, что Pass-The-Hash не работает на Kerberos. Рекомендуется отключить NTLM-аутентификацию везде, где это удобно.
Последние достижения:
Программы, использующие GPU (видеокарты) для взлома паролей NTLM, становятся все более популярными и чрезвычайно быстрыми. Пароль NTLM из 7 символов может быть взломан менее чем за 20 минут с помощью разумного домашнего компьютера. Отключение кэширования NTLM становится все более важным, поскольку восстановление пароля из хэша становится проще (который затем может использоваться для Kerberos, http-дайджеста или других методов аутентификации).
С развитием облачных вычислений взлом паролей NTLM в облаке позволил «арендовать» ресурсы для взлома практически любого хэша NTLM за разумное время (хотя и за счет общих затрат). Учитывая эти изменения, каждый должен пересмотреть свою политику длины и сложности паролей; ограничение использования и хранения хэшей NTLM; и тщательно оценивая (или угадывая), сколько гнусная организация (конкурент) заплатит за доступ к вашим системам.
Лучше всего удалить все кеши после использования администратора, а затем позволить пользователю снова войти в систему.
Чтобы просмотреть кэшированные учетные данные в реестре, запустите regedit как системный (если вы не измените разрешения для ключа, который нужно изменить)
Войдите в систему как администратор, загрузите командную строку и введите:
at xx: xx / interactive "regedit.exe", который использует систему в качестве своего владельца
перейдите в HKLM \ SECURITY \ CACHE
Замените данные в NL $ от 1 до 10 нулями. Не удаляйте их и не играйте с другими клавишами.
На самом деле я этого не делал, но вы также должны иметь возможность запланировать команды reg.exe, чтобы сделать то же самое.
Настройки gpo на ноутбуках и настольных компьютерах!